CrowdStrikeにより数カ月前に発生していたDebianとRocky Linuxの障害

 (neowin.net)
1 ポイント 投稿者 GN⁺ 2024-07-22 | 3件のコメント | WhatsAppで共有

DebianとRocky Linuxの障害事例

  • CrowdStrikeは著名なサイバーセキュリティサービス提供企業で、最近Windows PCで発生したBlue Screen of Death (BSOD) 問題の原因だったことが判明した
  • この問題は航空会社、銀行、医療サービス提供者など幅広い分野の運用に支障をもたらしたが、MacやLinux PCには影響しなかった
  • しかし、DebianとRocky Linuxの利用者も数カ月にわたりCrowdStrikeのアップデートによって深刻な障害を経験していたにもかかわらず、ほとんど注目されなかった
  • これはCrowdStrikeのソフトウェア更新およびテスト手順に対する懸念を提起している

Debian Linuxの障害事例

  • 4月、あるシビックテック研究所のすべてのDebian LinuxサーバーがCrowdStrikeのアップデートにより同時にダウンし、起動を拒否した
  • このアップデートはDebianの最新安定版と互換性がなかったにもかかわらず、そのLinux構成はサポート対象とされていた
  • ITチームはCrowdStrikeを削除するとシステムが起動することを発見し、この事案を報告した
  • チームメンバーの1人はCrowdStrikeの対応の遅さに不満を示し、問題を認めた後も根本原因分析の提示まで数週間かかったと述べた
  • 分析の結果、Debian Linuxの構成がCrowdStrikeのテストマトリクスに含まれていなかったことが明らかになった

Rocky Linuxの障害事例

  • RockyLinux 9.4へアップグレードした後、CrowdStrikeの利用者もカーネルバグによってサーバーがダウンする同様の問題を報告した
  • CrowdStrikeのサポートチームはこの問題を認めており、これは複数のオペレーティングシステムにまたがる互換性問題に対するテスト不足と注意不足を示すパターンである

改善策

  • 今後このような問題を防ぐため、CrowdStrikeはすべてのサポート対象構成に対する厳格なテストを優先すべきである
  • また、組織はCrowdStrikeのアップデートに注意を払い、潜在的な障害を緩和するための緊急時対応計画を用意すべきである

関連記事

3件のコメント

 
click 2024-07-22

AIは本文ではなく広告を要約したようですね
 
xguru 2024-07-22

NeowinサイトはHTML構造がおかしく、上部バーのすべての広告が本文として認識されてしまうようです。修正しておきました。
 
GN⁺ 2024-07-22
Hacker Newsのコメント
  • OSS/Linuxエコシステムは、独立していて緩やかに調整されたグループが無償で書いたコードで構成されているにもかかわらず、数十億ドル企業のソフトウェアよりも堅牢である
    • OSSのシステムプログラマーは公開の場でコードを書くが、それは「多くの目があればバグは浅くなる」からというより、「どんな目であってもひどいコードを恥ずかしいものにする」からかもしれない
    • 商用プロジェクトをオープンソース化する予定だが、公開前に多くの修正が必要だ
    • いくつものクローズドな商用コードベースを見てきたが、はるかにひどいコードもたくさん見た
  • CrowdStrikeが4月19日に本番Linuxシステムで問題を引き起こしたというコメントがあった
  • 製品品質は航空機からソフトウェアまで自由落下しており、最近はQA不足が当たり前になっている
  • この分野で働いていたとき、「これらは本当に役に立っているのか?」という疑問が常にあった
    • CrowdStrikeなどの効果について第三者研究があるのか、それとも単にセキュリティ劇場のために私たちの生活を悪くしているだけなのか気になる
  • CrowdStrikeがWindowsアプリケーションにバグのあるDLLを注入し、その結果アプリ自体がクラッシュしうるという報告があった
  • 企業が結果的損害に対する責任を回避できる契約条項を使えることが問題だ
    • こうした条項は、人命喪失による結果的損害に関する契約のように無効化すべきかもしれない
    • 少なくとも制限すべきだ
  • アップデートは最新安定版のDebianと互換性がなかった
    • 分析の結果、Debian Linuxの構成はテストマトリクスに含まれていなかった
    • これは実質的に詐欺に近い。対応していると宣言しておきながら、実際にはテストしていない
    • 自動車メーカーがシートベルトを取り付けないようなものだ。なぜCrowdStrikeが処罰されないのか疑問だ
  • CrowdStrikeは、サポート対象のすべての構成に対する厳格なテストを優先すべきだ
    • テストにはコストがかかり、競争市場で必要とする、あるいは望む企業に製品を売っているわけではない
    • 企業に製品を半ば強制的に売るビジネスモデルなので、品質に投資するインセンティブがない
  • 「誰も気づかなかった」という言い方は、CrowdStrikeがメディアの注目を抑え込んだという意味だ
    • バグ発生日当日、HNの投稿には数か月前から問題を報告しようとしていたというコメントがあった
    • 記事でも人々は気づいていたと書かれている。では誰が気づかなかったのか、あるいは問題が十分に注目されず無視されたのか気になる
  • CrowdStrikeを使っている人がいるのか、何をしているのか気になる
    • 会社のノートPCに入っていて、キーロガー兼アクティビティモニターのように見える
    • 「隠すものはない」とは言うが、それでも一部の企業のスーパーユーザーに監視されるのは不快だ